本發(fā)明涉及CA認(rèn)證，尤其涉及基于光通信的光子CA認(rèn)證方法及認(rèn)證系統(tǒng)。

背景技術(shù)：

CA(Certificate Authority，證書授權(quán)機(jī)構(gòu))數(shù)字證書是由權(quán)威機(jī)構(gòu)授權(quán)中心發(fā)行的，可以用它來識(shí)別對(duì)方的身份。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。CA數(shù)字證書可以安全有效進(jìn)行安全認(rèn)證，但是也有弊端就是數(shù)字證書濫用或盜用。

可見光通信技術(shù)是一種在LED技術(shù)上發(fā)展起來的新型無線光通信技術(shù)。通過LED光源的高頻率閃爍來進(jìn)行通信，可見光通信的傳輸速率最高達(dá)每秒千兆。可見光通信有著相當(dāng)豐富的頻譜資源，這是包括微波通信在內(nèi)的一般無線通信無法比擬的。同時(shí)，可見光通信可以適用任何通信協(xié)議、適用于任何環(huán)境，并且可見光通信的設(shè)備架設(shè)靈活便捷、成本低廉，適合大規(guī)模普及應(yīng)用。

技術(shù)實(shí)現(xiàn)要素：

以下給出一個(gè)或多個(gè)方面的簡(jiǎn)要概述以提供對(duì)這些方面的基本理解。此概述不是所有構(gòu)想到的方面的詳盡綜覽，并且既非旨在指認(rèn)出所有方面的關(guān)鍵性或決定性要素亦非試圖界定任何或所有方面的范圍。其唯一的目的是要以簡(jiǎn)化形式給出一個(gè)或多個(gè)方面的一些概念以為稍后給出的更加詳細(xì)的描述之序。

根據(jù)本發(fā)明的一方面，一種光子CA認(rèn)證方法，包括：

由光子CA認(rèn)證終端接收來自光子終端的光信號(hào)，該光信號(hào)中包含用戶ID；

對(duì)該光信號(hào)中所包含的用戶ID進(jìn)行驗(yàn)證；以及

響應(yīng)于通過該用戶ID驗(yàn)證，向客戶端提供用戶證書以執(zhí)行CA證書認(rèn)證。

在一實(shí)例中，該方法還包括：由該光子終端對(duì)用戶指紋進(jìn)行指紋識(shí)別；以及響應(yīng)于通過該指紋識(shí)別，發(fā)送包含該用戶ID的該光信號(hào)。

在一實(shí)例中，對(duì)該光信號(hào)中所包含的用戶ID進(jìn)行驗(yàn)證包括：將該光信號(hào)中所含的用戶ID與本地存儲(chǔ)的ID進(jìn)行比對(duì)；若兩者一致則通過該用戶ID驗(yàn)證，否則用戶ID驗(yàn)證失敗。

在一實(shí)例中，該方法還包括：響應(yīng)于該用戶ID驗(yàn)證失敗，向客戶端發(fā)送報(bào)錯(cuò)消息。

在一實(shí)例中，該響應(yīng)于通過該用戶ID驗(yàn)證，向客戶端提供用戶證書以執(zhí)行CA證書認(rèn)證包括：響應(yīng)于通過該用戶ID驗(yàn)證，由該光子CA認(rèn)證終端執(zhí)行PIN碼驗(yàn)證；以及響應(yīng)于通過該P(yáng)IN碼驗(yàn)證，向該客戶端提供該用戶證書以執(zhí)行CA證書認(rèn)證。

在一實(shí)例中，該光子CA認(rèn)證終端包括CA認(rèn)證模塊和光子處理模塊，該執(zhí)行認(rèn)證PIN碼驗(yàn)證包括：響應(yīng)于通過該用戶ID驗(yàn)證，由該光子處理模塊向該CA認(rèn)證模塊傳送PIN碼，以及由該CA認(rèn)證模塊將收到的PIN碼與本地存儲(chǔ)的PIN碼進(jìn)行比對(duì)以執(zhí)行PIN碼驗(yàn)證，若兩者一致則通過PIN碼驗(yàn)證，否則PIN碼驗(yàn)證失敗。

在一實(shí)例中，該光子處理模塊發(fā)送的PIN碼是采用第一密鑰算法經(jīng)加密的PIN碼，該CA認(rèn)證模塊本地存儲(chǔ)的PIN碼是采用第二密鑰算法經(jīng)加密的PIN碼，其中由該CA認(rèn)證模塊將收到的PIN碼與本地存儲(chǔ)的PIN碼進(jìn)行比對(duì)包括：采用該第一密鑰算法對(duì)收到的PIN碼進(jìn)行解密；采用該第二密鑰算法對(duì)本地存儲(chǔ)的PIN碼進(jìn)行解密；以及將解密后的兩個(gè)PIN碼進(jìn)行比對(duì)以執(zhí)行PIN碼驗(yàn)證。

在一實(shí)例中，該方法還包括：響應(yīng)于PIN碼驗(yàn)證失敗，向該客戶端發(fā)送報(bào)錯(cuò)消息。

在一實(shí)例中，該方法還包括：由該客戶端向證書認(rèn)證網(wǎng)關(guān)提交該用戶證書以執(zhí)行該CA證書認(rèn)證。

在一實(shí)例中，該方法還包括：由該客戶端將該用戶證書連同用戶輸入的證 書設(shè)備密碼一起提交至該證書認(rèn)證網(wǎng)關(guān)以執(zhí)行該CA證書認(rèn)證。

根據(jù)本發(fā)明的另一方面，提供了一種光子CA認(rèn)證系統(tǒng)，包括：

光子CA認(rèn)證終端，該光子CA認(rèn)證終端包括：

光子處理模塊，用于接收來自光子終端的光信號(hào)并對(duì)該光信號(hào)中包含的用戶ID進(jìn)行驗(yàn)證，

該光子CA認(rèn)證終端響應(yīng)于通過該用戶ID驗(yàn)證，向客戶端提供用戶證書以執(zhí)行CA證書認(rèn)證。

在一實(shí)例中，該系統(tǒng)還包括：光子終端，用于對(duì)用戶指紋進(jìn)行指紋識(shí)別，以及響應(yīng)于通過該指紋識(shí)別，向該光子CA認(rèn)證終端發(fā)送包含該用戶ID的該光信號(hào)。

在一實(shí)例中，該光子處理模塊包括：存儲(chǔ)單元，存儲(chǔ)有用戶ID；以及比較單元，用于將該光信號(hào)中所含的用戶ID與該存儲(chǔ)單元中本地存儲(chǔ)的用戶ID進(jìn)行比對(duì)，若兩者一致則通過該用戶ID驗(yàn)證，否則用戶ID驗(yàn)證失敗。

在一實(shí)例中，該光子CA認(rèn)證終端響應(yīng)于該用戶ID驗(yàn)證失敗，向該客戶端發(fā)送報(bào)錯(cuò)消息。

在一實(shí)例中，該光子CA認(rèn)證終端還包括：CA認(rèn)證模塊，用于響應(yīng)于通過該用戶ID驗(yàn)證來執(zhí)行PIN碼驗(yàn)證，以及響應(yīng)于通過該P(yáng)IN碼驗(yàn)證，向該客戶端提供該用戶證書以執(zhí)行CA證書認(rèn)證。

在一實(shí)例中，該光子處理模塊的存儲(chǔ)單元還存儲(chǔ)有PIN碼，其中，該光子處理模塊響應(yīng)于通過該用戶ID驗(yàn)證向該CA認(rèn)證模塊傳送PIN碼，以及該CA認(rèn)證模塊包括：存儲(chǔ)單元，存儲(chǔ)有PIN碼；以及比較單元，用于將收到的PIN碼與本地存儲(chǔ)的PIN碼進(jìn)行比對(duì)以執(zhí)行PIN碼驗(yàn)證，若兩者一致則通過PIN碼驗(yàn)證，否則PIN碼驗(yàn)證失敗。

在一實(shí)例中，該光子處理模塊所發(fā)送的PIN碼是采用第一密鑰算法經(jīng)加密的PIN碼，該CA認(rèn)證模塊本地存儲(chǔ)的PIN碼是采用第二密鑰算法經(jīng)加密的PIN碼，該CA認(rèn)證模塊還包括：密鑰單元，用于采用該第一密鑰算法對(duì)收到的PIN碼進(jìn)行解密，以及采用該第二密鑰算法對(duì)本地存儲(chǔ)的PIN碼進(jìn)行解密，其中，該比較單元將解密后的兩個(gè)PIN碼進(jìn)行比對(duì)以執(zhí)行PIN碼驗(yàn)證。

在一實(shí)例中，該光子CA認(rèn)證終端響應(yīng)于該P(yáng)IN碼驗(yàn)證失敗，向該客戶端發(fā)送報(bào)錯(cuò)消息。

在一實(shí)例中，該系統(tǒng)還包括：該客戶端，通過USB端口與該光子CA認(rèn)證終端連接，該客戶端用于向證書認(rèn)證網(wǎng)關(guān)提交該用戶證書以執(zhí)行該CA證書認(rèn)證。

在一實(shí)例中，該客戶端將該用戶證書連同用戶輸入的證書設(shè)備密碼一起提交至該證書認(rèn)證網(wǎng)關(guān)以執(zhí)行該CA證書認(rèn)證。

附圖說明

在結(jié)合以下附圖閱讀本公開的實(shí)施例的詳細(xì)描述之后，能夠更好地理解本發(fā)明的上述特征和優(yōu)點(diǎn)。在附圖中，各組件不一定是按比例繪制，并且具有類似的相關(guān)特性或特征的組件可能具有相同或相近的附圖標(biāo)記。

圖1示出了根據(jù)本發(fā)明一方面的光子認(rèn)證系統(tǒng)的架構(gòu)的框圖；

圖2示出了根據(jù)本發(fā)明一方面光子CA認(rèn)證終端的框圖；以及

圖3示出了根據(jù)本發(fā)明一方面光子CA認(rèn)證方法的流程圖。

符號(hào)說明：

1000：光子CA認(rèn)證系統(tǒng)

100：光子CA認(rèn)證終端

110：CA認(rèn)證模塊 111：存儲(chǔ)單元 112：密鑰單元 113：比較單元

120：光子處理模塊 121：存儲(chǔ)單元 122：比較單元 123：光接收單元

200：光子終端

300：客戶端

400：證書認(rèn)證網(wǎng)關(guān)

500：CA發(fā)布服務(wù)器

600：服務(wù)端

具體實(shí)施方式

以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作詳細(xì)描述。注意，以下結(jié)合附圖和 具體實(shí)施例描述的諸方面僅是示例性的，而不應(yīng)被理解為對(duì)本發(fā)明的保護(hù)范圍進(jìn)行任何限制。

圖1是示出了根據(jù)本發(fā)明一方面的光子CA認(rèn)證系統(tǒng)1000的架構(gòu)的框圖。如圖1所示，光子CA認(rèn)證終端100通過USB端口與客戶端300連接。證書認(rèn)證網(wǎng)關(guān)400部署在客戶端300和服務(wù)端600之間，并采用串聯(lián)部署?？蛻舳?00與服務(wù)端600之間的所有信息交互都經(jīng)過認(rèn)證網(wǎng)關(guān)400。認(rèn)證網(wǎng)關(guān)400負(fù)責(zé)完成對(duì)客戶端300的完整證書認(rèn)證過程以及數(shù)據(jù)的加密傳輸，客戶端300只有通過認(rèn)證網(wǎng)關(guān)的驗(yàn)證，請(qǐng)求才能真正到達(dá)服務(wù)器。

光子CA認(rèn)證系統(tǒng)1000還可包括光子終端200，用戶使用光子終端200向光子CA認(rèn)證終端100先進(jìn)行初步的光子驗(yàn)證，只有在經(jīng)過該驗(yàn)證后才進(jìn)行后續(xù)的CA認(rèn)證。

根據(jù)本發(fā)明的一方面，用戶使用光子終端200向光子CA認(rèn)證終端100發(fā)送包含用戶ID的光信號(hào)，光子CA認(rèn)證終端100的光子處理模塊120接收該光信號(hào)，并執(zhí)行光子驗(yàn)證。

較優(yōu)地，光子終端200包含有指紋識(shí)別模塊，可對(duì)用戶進(jìn)行指紋識(shí)別。只有在用戶通過指紋識(shí)別之后，光子終端200才會(huì)發(fā)送該光信號(hào)。光子終端200可以是例如光子一卡通的卡片形式。

圖2是示出了根據(jù)本發(fā)明的一方面的光子CA認(rèn)證終端100的框圖。

如圖2所示，光子CA認(rèn)證終端100可包括兩部分，即CA認(rèn)證模塊110和光子處理模塊120，這兩者可通過UART協(xié)議進(jìn)行通信。光子處理模塊120主要負(fù)責(zé)對(duì)用戶的初步的光子驗(yàn)證。當(dāng)上述兩者通過UART協(xié)議時(shí)，光子CA認(rèn)證終端100可以是封裝成一體的設(shè)備，例如是帶有光子接收功能的網(wǎng)銀U盾。

在其他的可實(shí)施方式中CA認(rèn)證模塊110和光子處理模塊120也可以為封裝在不同設(shè)備中的一整套儀器，例如CA認(rèn)證模塊110可以為現(xiàn)有的具有CA認(rèn)證功能的USB型電子口令卡，光子處理模塊120為僅用于接收光信號(hào)的光子接收端，上述兩者分別通過USB端口連接在電腦上，形成一整套的儀器。

光子處理模塊120首先可包括光接收單元123，相應(yīng)地，光子終端200可包括光發(fā)射單元(未示出)，以使得兩者可進(jìn)行光通信。

一般而言，光子終端200的光發(fā)射單元(例如，編碼部分)可以采用任何編碼方式來編碼原始通信數(shù)據(jù)，例如用戶ID。常見的編碼可包括NRZ編碼、NRZI編碼、NRZI反轉(zhuǎn)計(jì)數(shù)編碼等等。NRZ編碼是以高電平代表1，低電平代表0。NRZI編碼是以信號(hào)的翻轉(zhuǎn)即高低電平的跳變?yōu)榇硪粋€(gè)邏輯例如1(0)，而信號(hào)高低電平保持不變表示另一邏輯例如0(1)。RZ脈沖計(jì)數(shù)編碼是將原始信息以n個(gè)比特為一組，相鄰兩組信號(hào)之間設(shè)有組間時(shí)間間隔，每組內(nèi)以脈沖的個(gè)數(shù)表示該組信號(hào)中的n個(gè)比特的信息。根據(jù)RZ編碼，用一個(gè)脈沖表示信息位00，用3個(gè)脈沖表示信息10。

NRZI反轉(zhuǎn)計(jì)數(shù)編碼也是將原始信息以n個(gè)比特為一組，相鄰兩組信號(hào)之間設(shè)有組間時(shí)間間隔。區(qū)別于RZ脈沖計(jì)數(shù)編碼，NRZI是在每組內(nèi)以高電平到低電平(或低電平到高電平)的反轉(zhuǎn)次數(shù)分別表示該組信號(hào)中的n個(gè)比特的信息。

光發(fā)射單元(例如，發(fā)光部分，諸如LED)可以例如通過以發(fā)光表示高電平信號(hào)、而以不發(fā)光表示低電平來將接收到的經(jīng)編碼信號(hào)以可見光的形式發(fā)送出去。

光接收單元123可用于接收光子終端200發(fā)射的可見光信號(hào)、并將可見光信號(hào)轉(zhuǎn)換為數(shù)字信號(hào)。例如，對(duì)于LED燈產(chǎn)生的高頻率閃爍，有光可代表高電平，無光可代表低電平，或反之，從而可將接收的可見光信號(hào)轉(zhuǎn)換為數(shù)字信號(hào)。光接收單元123(例如，光電轉(zhuǎn)換部分)利用光電二極管的電信號(hào)與光信號(hào)的特性，通過光電轉(zhuǎn)換將形成電脈沖信號(hào)。實(shí)踐中由于光子終端200與光子CA認(rèn)證終端100的相對(duì)位置不一樣，即每次光子終端200發(fā)射到光接收單元123的光信號(hào)強(qiáng)度是不一樣的，所以其電信號(hào)強(qiáng)弱也是不一樣的，所以需要對(duì)所形成的電流進(jìn)行整流比較。如當(dāng)二極管通過的電流值高于某一定門限值時(shí)，光電轉(zhuǎn)換電路將輸出的電壓電平值調(diào)整為高電平；當(dāng)通過光電二極管的電流值低于某一門限值時(shí)，光電轉(zhuǎn)換電路將輸出的電壓電平值調(diào)整為低電平。該門限值的設(shè)定是通過一個(gè)數(shù)學(xué)模型根據(jù)不同的環(huán)境來設(shè)定的，如距離較遠(yuǎn)時(shí)，門限值可能會(huì)降低；距離近時(shí)門限值可能會(huì)相對(duì)升高。通過以上過程，可以將電平調(diào)整到一定范圍內(nèi)，以此保證正確的脈沖形狀，以盡可能保證采樣的準(zhǔn)確 性。

光接收單元123(例如，解碼部分)進(jìn)一步將得到的數(shù)字信號(hào)解碼，以恢復(fù)出原始通信數(shù)據(jù)，例如光子終端200所發(fā)送的用戶ID。

在用戶通過光子終端200的指紋識(shí)別后，可向光子處理模塊120發(fā)送包含用戶ID的光信號(hào)，光接收單元123可接收該光信號(hào)，并對(duì)其進(jìn)行處理，以獲得用戶ID。除上述處理之外，光接收單元123還可執(zhí)行A/D轉(zhuǎn)換、解密處理(在用戶ID經(jīng)過加密的情況下)。

在獲得來自光子終端200的用戶ID之后，光子處理模塊120可對(duì)該用戶ID進(jìn)行驗(yàn)證，若通過該驗(yàn)證，則光子CA認(rèn)證終端100可例如通過USB口向客戶端300提供用戶證書，以執(zhí)行CA證書認(rèn)證。例如，CA認(rèn)證模塊110的存儲(chǔ)單元111中存儲(chǔ)有用戶證書，至少需要通過該光子驗(yàn)證，CA認(rèn)證模塊110才會(huì)提供用戶證書進(jìn)行CA認(rèn)證。

光子處理模塊120從功能上主要包括兩個(gè)部分，即光接收部分，例如上述的光接收單元123，以及驗(yàn)證部分，例如下文詳述的比較單元122。

在本案中，光子CA認(rèn)證終端100在最初會(huì)進(jìn)行設(shè)備初始化，客戶端300會(huì)將用戶ID通過USB口下發(fā)到光子CA認(rèn)證終端100，對(duì)于用戶ID，光子處理模塊120加密保存在存儲(chǔ)單元121中，并且這個(gè)用戶ID是與光子終端200中一樣的數(shù)值。

相應(yīng)地，在執(zhí)行光子驗(yàn)證時(shí)，比較單元122可將光接收單元123得到的用戶ID與存儲(chǔ)單元121中的用戶ID進(jìn)行比較，若兩者一致，則驗(yàn)證通過，否則驗(yàn)證失敗。在存儲(chǔ)單元121中的用戶ID是經(jīng)加密的用戶ID的情況下，光子處理模塊120還需首先對(duì)其進(jìn)行解密，在與光接收單元123獲得的用戶ID進(jìn)行比較。

如上所述，當(dāng)光子驗(yàn)證通過時(shí)，CA認(rèn)證模塊110可向客戶端300提交用戶證書，而當(dāng)光子驗(yàn)證失敗時(shí)，光子CA認(rèn)證終端100會(huì)通過USB端口向客戶端300發(fā)送報(bào)錯(cuò)消息。

在特定實(shí)施例中，當(dāng)通過光子驗(yàn)證后，CA認(rèn)證模塊110還需進(jìn)一步執(zhí)行PIN碼驗(yàn)證，只有當(dāng)通過PIN碼驗(yàn)證時(shí)，才會(huì)向客戶端300提供用戶證書進(jìn)行 CA認(rèn)證，而當(dāng)未通過PIN碼驗(yàn)證時(shí)，光子CA認(rèn)證終端100會(huì)向客戶端300發(fā)送報(bào)錯(cuò)消息。

在此實(shí)施例中，光子CA認(rèn)證終端100在最初的設(shè)備初始化時(shí)，客戶端300會(huì)將證書認(rèn)證網(wǎng)關(guān)400分配的PIN碼通過USB口下發(fā)到光子CA認(rèn)證終端100，對(duì)于PIN碼，CA認(rèn)證模塊110和光子處理模塊120各保留一份，通過不同的AES密鑰保存。

例如，在CA認(rèn)證模塊110的存儲(chǔ)單元111中的PIN碼是以第一密鑰算法，例如基于AES1加密的PIN碼，而在光子處理模塊120的存儲(chǔ)單元121中的PIN碼是以第二密鑰算法，例如基于AES2加密的PIN碼。

在接收到光子處理模塊120經(jīng)由UART協(xié)議發(fā)送來的經(jīng)加密的PIN碼后，CA認(rèn)證模塊110的密鑰單元112可采用第二密鑰算法，例如基于AES2對(duì)收到的PIN碼進(jìn)行解密，而采用第二密鑰算法，例如基于AES1對(duì)本地存儲(chǔ)的PIN碼進(jìn)行解密，然后兩者進(jìn)行比較，若兩者一致則通過PIN碼驗(yàn)證，否則PIN碼驗(yàn)證失敗。

當(dāng)通過PIN碼驗(yàn)證時(shí)，CA認(rèn)證終端110可向客戶端300發(fā)送用戶證書，而當(dāng)失敗時(shí)，可向客戶端發(fā)送報(bào)錯(cuò)消息。

客戶端300在接收到用戶證書時(shí)，可向證書認(rèn)證網(wǎng)關(guān)400提交用戶證書，以執(zhí)行CA證書認(rèn)證。一般地，客戶端300還需同時(shí)將用戶輸入的證書設(shè)備密碼一起提交給證書認(rèn)證網(wǎng)關(guān)400進(jìn)行CA證書認(rèn)證。

在用戶希望通過客戶端進(jìn)行服務(wù)請(qǐng)求時(shí)，如圖1中所示，客戶端300向應(yīng)用服務(wù)端600發(fā)送連接請(qǐng)求，請(qǐng)求首先到達(dá)認(rèn)證網(wǎng)關(guān)400，如標(biāo)號(hào)1的箭頭所示。證書認(rèn)證網(wǎng)關(guān)400要求用戶提交用戶證書，如標(biāo)號(hào)2的箭頭所示。客戶端300提示用戶輸入證書設(shè)備密碼，向服務(wù)端提交用戶證書，如標(biāo)號(hào)3的箭頭所示。認(rèn)證網(wǎng)關(guān)400對(duì)獲取的用戶證書進(jìn)行驗(yàn)證，包括證書自身有效性，信任證書鏈，黑名單驗(yàn)證或者OCSP驗(yàn)證，如標(biāo)號(hào)4的箭頭所示。驗(yàn)證通過后，認(rèn)證網(wǎng)關(guān)400可將請(qǐng)求發(fā)送給真正服務(wù)器600，并將用戶證書信息附加到請(qǐng)求中，如標(biāo)號(hào)5的箭頭所示。服務(wù)器600從請(qǐng)求中獲取用戶的身份，如標(biāo)號(hào)6的箭頭所示。

圖3是示出了根據(jù)本發(fā)明一方面光子CA認(rèn)證方法300的流程圖。如圖3所示，方法300可包括如下步驟：

步驟301：準(zhǔn)備認(rèn)證；

此時(shí)，光子CA認(rèn)證終端100與客戶端300通過USB連接；

步驟302：終端初始化；

光子CA認(rèn)證終端100可獲取PIN碼和用戶ID；

步驟303：指紋識(shí)別；

用戶若希望通過光子終端200發(fā)送光信號(hào)執(zhí)行光子驗(yàn)證，則需要輸入指紋信息以執(zhí)行指紋識(shí)別；

步驟304：若指紋識(shí)別通過，則流程行進(jìn)至步驟305，否則行進(jìn)至步驟306；

步驟305：光子處理模塊120對(duì)收到的光信號(hào)進(jìn)行解析以獲得用戶ID；

步驟306：向客戶端300報(bào)錯(cuò)；

步驟307：光子處理模塊120將收到的用戶ID與本地存儲(chǔ)的用戶ID進(jìn)行比較，以執(zhí)行光子驗(yàn)證，若驗(yàn)證通過則流程行進(jìn)至步驟308，否則行進(jìn)至步驟309；

步驟308：光子處理模塊120將PIN碼發(fā)送至CA認(rèn)證模塊110；

這里的PIN碼可以是經(jīng)由AES2加密的PIN碼；

步驟310：CA認(rèn)證模塊110對(duì)收到的PIN碼進(jìn)行解密；

相應(yīng)地，CA認(rèn)證模塊110可使用AES2對(duì)該P(yáng)IN碼進(jìn)行解密；

步驟311：CA認(rèn)證模塊110對(duì)本地存儲(chǔ)的PIN碼進(jìn)行解密；

這里CA認(rèn)證模塊110可使用例如AES1對(duì)PIN碼進(jìn)行解密；

步驟312：比較兩者是否一致，若一致則流程行進(jìn)至步驟313，否則行進(jìn)至步驟314；

步驟313：CA認(rèn)證模塊110向客戶端300提交用戶證書；

步驟314：向客戶端300報(bào)錯(cuò)。

盡管為使解釋簡(jiǎn)單化將上述方法圖示并描述為一系列動(dòng)作，但是應(yīng)理解并領(lǐng)會(huì)，這些方法不受動(dòng)作的次序所限，因?yàn)楦鶕?jù)一個(gè)或多個(gè)實(shí)施例，一些動(dòng)作可按不同次序發(fā)生和/或與來自本文中圖示和描述或本文中未圖示和描述但本 領(lǐng)域技術(shù)人員可以理解的其他動(dòng)作并發(fā)地發(fā)生。

在本發(fā)明中，首先進(jìn)行指紋識(shí)別，接著是光子ID驗(yàn)證，最后是CA認(rèn)證。人、光子卡和認(rèn)證終端完全綁定，可以有效防止證書濫用現(xiàn)象，提高認(rèn)證安全級(jí)別。

本領(lǐng)域技術(shù)人員將進(jìn)一步領(lǐng)會(huì)，結(jié)合本文中所公開的實(shí)施例來描述的各種解說性邏輯板塊、模塊、電路、和算法步驟可實(shí)現(xiàn)為電子硬件、計(jì)算機(jī)軟件、或這兩者的組合。為清楚地解說硬件與軟件的這一可互換性，各種解說性組件、框、模塊、電路、和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實(shí)現(xiàn)為硬件還是軟件取決于具體應(yīng)用和施加于整體系統(tǒng)的設(shè)計(jì)約束。技術(shù)人員對(duì)于每種特定應(yīng)用可用不同的方式來實(shí)現(xiàn)所描述的功能性，但這樣的實(shí)現(xiàn)決策不應(yīng)被解讀成導(dǎo)致脫離了本發(fā)明的范圍。

結(jié)合本文所公開的實(shí)施例描述的各種解說性邏輯板塊、模塊、和電路可用通用處理器、數(shù)字信號(hào)處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)或其它可編程邏輯器件、分立的門或晶體管邏輯、分立的硬件組件、或其設(shè)計(jì)成執(zhí)行本文所描述功能的任何組合來實(shí)現(xiàn)或執(zhí)行。通用處理器可以是微處理器，但在替換方案中，該處理器可以是任何常規(guī)的處理器、控制器、微控制器、或狀態(tài)機(jī)。處理器還可以被實(shí)現(xiàn)為計(jì)算設(shè)備的組合，例如DSP與微處理器的組合、多個(gè)微處理器、與DSP核心協(xié)作的一個(gè)或多個(gè)微處理器、或任何其他此類配置。

結(jié)合本文中公開的實(shí)施例描述的方法或算法的步驟可直接在硬件中、在由處理器執(zhí)行的軟件模塊中、或在這兩者的組合中體現(xiàn)。軟件模塊可駐留在RAM存儲(chǔ)器、閃存、ROM存儲(chǔ)器、EPROM存儲(chǔ)器、EEPROM存儲(chǔ)器、寄存器、硬盤、可移動(dòng)盤、CD-ROM、或本領(lǐng)域中所知的任何其他形式的存儲(chǔ)介質(zhì)中。示例性存儲(chǔ)介質(zhì)耦合到處理器以使得該處理器能從/向該存儲(chǔ)介質(zhì)讀取和寫入信息。在替換方案中，存儲(chǔ)介質(zhì)可以被整合到處理器。處理器和存儲(chǔ)介質(zhì)可駐留在ASIC中。ASIC可駐留在用戶終端中。在替換方案中，處理器和存儲(chǔ)介質(zhì)可作為分立組件駐留在用戶終端中。

提供對(duì)本公開的先前描述是為使得本領(lǐng)域任何技術(shù)人員皆能夠制作或使 用本公開。對(duì)本公開的各種修改對(duì)本領(lǐng)域技術(shù)人員來說都將是顯而易見的，且本文中所定義的普適原理可被應(yīng)用到其他變體而不會(huì)脫離本公開的精神或范圍。由此，本公開并非旨在被限定于本文中所描述的示例和設(shè)計(jì)，而是應(yīng)被授予與本文中所公開的原理和新穎性特征相一致的最廣范圍。